plik pdf

ISO 27001 w Banku Spółdzielczym –
- od decyzji do realizacji
Aleksander Czarnowski
AVET Information and Network Security Sp. z o.o.
Agenda
• ISO 27001 – zalety i wady
• Miejsce systemów bezpieczeństwa w
Bankowości Spółdzielczej
• Jak i kiedy wdraŜać?
• Trudne obszary i pułapki
• Podsumowanie
Kim jesteśmy
• 10 lat na rynku polskim
• Zintegrowany system zarządzania:
– ISO 9001
– ISO 27001
– AQAP (dla projektów NATO)
• NiezaleŜny audytor i konsultant w zakresie
bezpieczeństwa informacji
• Sektor bankowy: ponad 60% przychodów
ISO 27001
• PN-ISO/IEC 27001:2007
– Zastąpiła PN-I-07799-2:2005
– Wywodzi się z BS 7799
• Dlaczego to działa?
– Początki w armii brytyjskiej
– Prostota i efektywność = przewaga biznesowa
• Brak dodatkowych kosztów
– To biznes rządzi bezpieczeństwem
– Bezpieczeństwo nie jest celem samym w sobie
– Podejście procesowe
Model PDCA
Planuj
(Plan)
Ustanowienie
ISMS
Wykonaj
(Do)
Działaj
(Act)
WdroŜenie /
eskploatacja
Utrzymanie oraz
doskonalenie
Sprawdzaj
(Check)
Monitorowanie /
przegląd
Co definiuje norma?
• System Zarządzania Bezpieczeństwem Informacji (ang.
ISMS)
–
–
–
–
–
–
–
Zarządzanie ryzykiem
Bezpieczeństwo osobowe
Bezpieczeństwo fizyczne
Zarządzanie incydentami i ciągłością działania
Bezpieczeństwo aplikacyjne i systemowe
Bezpieczeństwo we współpracy ze stroną trzecią i outsourcing
NiezaleŜne przeglądy i kontrolę nad systemem
ISO 27005
PN-ISO/IEC
17799:2006
PN-ISO/IEC
27001:2007
Analiza ryzyka
Zarządzanie
bezpieczeństwem
Audyt
Mapa ryzyka
Polityka
Bezpieczeństwa
Plan
postępowania z
ryzykiem
Zabezpieczenia
Proceudury
Zabezpieczenia
Ciągłość działania
BS 25999
Outsourcing i BCM
• BCM – zarządzania ciągłością działania
–
–
–
–
Budowanie i zarządzania ciągłością działania
Transfer i unikanie ryzyka
Testowanie procedur i procesów
Szkolenia personelu
• Outsourcing
– Analiza ryzyka pokazuje centra kosztowe
– Zwrot z inwestycji
– Jak spełnić wymogi GINB w zakresie ciągłości i outsourcingu
Jak źle wdroŜyć system
bezpieczeństwa?
•
•
•
•
•
Stworzyć wiele dokumentów
Stworzyć wiele skomplikowanych procedur
Stworzyć system aby tylko uzyskać certyfikat
Wybrać błędną metodykę zarządzania ryzykiem
Kupić wiele róŜnych zabezpieczeń bez
długofalowej strategii
Jak wdroŜyć certyfikowany
system?
1. Opracować deklarację stosowania
a) Dobrze dobrany zakres certyfikacji
2.
3.
4.
5.
6.
7.
Identyfikacja kluczowych graczy i procesów
Analiza ryzyka i identyfikacja potrzeb
Stworzenie dokumentacji
WdroŜenie zabezpieczeń
Audyt wewnętrzny
Audyt certyfikacyjny
Deklaracja
stosowania
Polityka
Bezpieczeństwa
Informacji
Procedury
Ochrona danych
osobowych
Polityka
bezpieczeństwa
systemów IT
Polityka systemu
IT
Polityka systemu
IT
Polityka systemu
IT
Procedury
Procedury
Procedury
Deklaracja
stosowania
Polityka
Bezpieczeństwa
Informacji
Ochrona danych
osobowych
Polityka
bezpieczeństwa
systemów IT
Polityka systemu
IT
Polityka systemu
IT
Procedury
Polityka systemu
IT
Korzyści dla Banku (1/3)
• Pomaga podczas inspekcji GINB’u w
zakresie bezpieczeństwa IT i informacji
– Rekomendacja D
• Ujednolica sposób zarządzania informacją
oraz klasyfikacji aktywów
• Uporządkowana struktura zarządzania
bezpieczeństwem
Korzyści dla Banku (2/3)
• Rozwiązuje kwestie outsourcingu i stron
trzecich
• Opisuje procesy zarządzania ciągłością
działania
• Zarządzanie ryzykiem – BASEL II
Korzyści dla Banku (3/3)
• Zgodność z wymogami prawnymi
– Ustawa o ochronie danych osobowych
– Ustawa o obrocie instrumentami finansowymi
• Uporządkowana dokumentacja polityki
bezpieczeństwa
• Zarządzanie incydentami
Bezpieczeństwo aplikacyjne
• Do 90% awarii wynika z błędów lub
podatności w oprogramowaniu
• Krytyczny obszar w bezpieczeństwie
systemów IT
• RóŜnorodność wykorzystywanych aplikacji
utrudnia zarządzanie bezpieczeństwem
AVET RMM
RMM - korzenie
• Metodyka powstała na bazie projektów z zakresu bezpieczeństwa
aplikacyjnego
–
–
–
–
–
Selekcja i integracja zabezpieczeń
Praktyki bezpiecznego programowania
Testy penetracyjne metodą white-box (ew. black-box)
Audyt kodu źródłowego
Audyt środowiska i samej aplikacji
• ZałoŜenia projektów
– Muszą dostarczyć korzyści biznesowych a nie arkusz w Excellu
– Muszą się zmieścić w czasie i budŜecie projektu
– Muszą doprowadzić do szybkiej identyfikacji i usunięcia powaŜnych
problemów
– Muszą przekazać wiedzę jak w przyszłości nie popełniać tych samych
błędów
Cele
• Identyfikacja zagroŜeń (poprzez ich modelowanie)
– Zrozum zagroŜenia i konsekwencje
– Kategoryzacja
– Demonstracja problemów
• Eliminacja problemów i podatności
– Historia ryzyka
– Śledzenie zmian
– Lista priorytetów
• Zarządzanie jakością i procesem Q&A
– Najlepsze praktyki
– Wzory ataków
Jak efektywnie ocenić
zabezpieczenia techniczne?
Proces: Testy penetracyjne
AVET SecureCode!
Attack
Patterns –
gotowa baza
Zarządzanie
ryzykiem
Zarządzanie
standardami wraz z
wytycznymi
Śledzenie
problemów i
podatności
RóŜne
metodyki
błędów
Pomoc w
obszarze
testowania
Szybka
identyfikacja
zagroŜeń
SDL
Korzyści ze stosowania SDL
• ObniŜenie kosztów eksploatacji
• Zmniejszenie liczby incydentów
• Nowoczesne zarządzanie
bezpieczeństwem
• Podejście oparte o zarządzanie ryzykiem
– Spełniamy wymogi GINB
– Zarządzanie Ryzykiem Operacyjnym
Jak realizować audyty i inspekcje
•
•
•
•
Wywiady
Przegląd dokumentacji
Przegląd zabezpieczeń
Co z zabezpieczeniami technicznymi?
Podsumowanie
• System oparty o ISO 27001 moŜe pomóc w
efektywnym zarządzaniu bezpieczeństwem
• ISO 27001 to zestaw najlepszych praktyk
• To od nas zaleŜy jaki kształt przybierze system
bezpieczeństwa
• Odpowiednie wdroŜenie systemu pomaga
podczas inspekcji GINBu – wszystkie procesy są
opisane i sprawowany jest nad nimi nadzór
Dziękuję za uwagę
• Pytania?
[email protected]